對(duì)于安全加密通信，傳輸層安全協(xié)議(SSL/TLS)的重要性不言而喻。如今的TLS協(xié)議不僅被用于傳輸層通訊，更作為一個(gè)標(biāo)準(zhǔn)的加密保護(hù)協(xié)議被廣泛應(yīng)用于 FTP, 電子郵件和VPN等領(lǐng)域，時(shí)刻保護(hù)著我們網(wǎng)絡(luò)通信的安全。

上周一個(gè)新的加密攻擊被披露，它可以攻破加密的TLS流量，允許攻擊者攔截并竊取以前認(rèn)為安全可靠的數(shù)據(jù)。這兩個(gè)被披露的新的TLS協(xié)議漏洞被命名為“Zombie POODLE”和“ GOLDENDOODLE(CVE)” 使用Zombie POODLE，能夠在Citrix負(fù)載均衡器中恢復(fù)POODLE攻擊，與此同時(shí)，GOLDENDOODLE是一種類(lèi)似的攻擊，但具有更強(qiáng)大，更快速的加密黑客攻擊性能。

在Alexa排名前100萬(wàn)的網(wǎng)站中，約有2000個(gè)網(wǎng)站易受Zombie POODLE的攻擊，約1000個(gè)網(wǎng)站易受GOLDENDOODLE的攻擊，還有數(shù)百個(gè)網(wǎng)站仍易受五年前就被曝出的舊漏洞POODLE的攻擊。

此攻擊所需條件：

1 HTTPS服務(wù)端使用了CBC密碼套件

2 在被攻擊客戶端和被攻擊服務(wù)器之間創(chuàng)建中間人通道MITM，如建立惡意WiFi熱點(diǎn)，或者劫持路由器等中間網(wǎng)絡(luò)設(shè)備

3 攻擊者通過(guò)植入用戶訪問(wèn)的非加密網(wǎng)站上的代碼，將惡意JavaScript注入受害者的瀏覽器。

4 惡意腳本構(gòu)造特定的HTTPS請(qǐng)求加密網(wǎng)站，結(jié)合中間人旁路監(jiān)聽(tīng)加密數(shù)據(jù)，多次請(qǐng)求后即可獲得加密數(shù)據(jù)中的Cookie和憑證。

亞洲誠(chéng)信作為互聯(lián)網(wǎng)安全SSL/TLS領(lǐng)域的資深技術(shù)團(tuán)隊(duì)，率先推出應(yīng)對(duì)策略：

1 確保全站HTTPS完整性，杜絕引入不安全的外鏈(HTTP腳本資源，尤其是JavaScript腳本)，可以通過(guò)亞洲誠(chéng)信提供的MySSL企業(yè)版進(jìn)行不安全外鏈監(jiān)控。

2 檢查服務(wù)器，避免使用RC4和CBC等不安全密碼套件，通過(guò)MySSL.com上檢測(cè)，支持的加密套件中避免出現(xiàn)弱密碼和包含CBC的密碼套件。

3 涉及敏感信息或者重要商業(yè)數(shù)據(jù)的系統(tǒng)加強(qiáng)異常狀況監(jiān)測(cè)和巡查，并保持符合HTTPS最佳安全實(shí)踐?？汕巴鵫ttps://MySSL.com獲取HTTPS最佳實(shí)踐白皮書(shū)。

另外: 為幫助易受攻擊的網(wǎng)站更好的防范和應(yīng)對(duì)此次威脅，亞洲誠(chéng)信對(duì)業(yè)界提供了7*24小時(shí)在線咨詢(xún)，可以通過(guò)關(guān)注微信公眾號(hào)[亞洲誠(chéng)信TrustAsia]獲取技術(shù)支持。郵箱：support@trustasia.com